Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новый вектор атаки “GIFShell“ позволяет киберпреступникам использовать Microsoft Teams в фишинговых кампаниях. В результате злоумышленники могут выполнить команды и выкрасть необходимые данные с помощью графических изображений в формате GIF.

По словам исследователей, которые поделились новым вектором с BleepingComputer, атакующие могут связать ряд уязвимостей в Microsoft Teams, что позволит им задействовать легитимную инфраструктуру Microsoft для доставки вредоносных файлов, выполнения команд и извлечения файлов с помощью GIF.

В процессе кражи данных через серверы Microsoft защитным программам будет сложнее детектировать нежелательный трафик, поскольку они будут расценивать его как безобидный поток Microsoft Team.

Принцип GIFShell строится на использовании ряда уязвимостей в Microsoft Teams и состоит из следующих шагов:

  • обход проверок безопасности Microsoft Teams — позволяет внешним пользователям отправлять вложения юзерам Microsoft Teams;
  • модификация отправленных вложений — позволяет заставить пользователя скачать файл по внешнему URL вместо сгенерированной ссылки SharePoint;
  • спуфинг вложений, который необходим для того, чтобы они выглядели безобидными файлами, но в итоге загружали вредоносный исполняемый файл или документ;
  • небезопасные URI-схемы — позволяют стащить хеш SMB NTLM или провести атаку на ретранслятор NTLM (NTLM relay);
  • Microsoft поддерживает отправку зашифрованных base64 GIF, но не сканирует содержимое байтов этих GIF. Это позволяет доставлять вредоносные команды с помощью легитимных с виду GIF;
  • Microsoft хранит сообщения Teams в лог-файле, который хранится локально на устройстве жертвы. Причём он доступен пользователю с низкими правами.
  • серверы Microsoft получают GIF с удалённых серверов, допуская извлечения данных с помощью имён GIF-файлов.

На вектор указал эксперт Бобби Раух, выявивший множество уязвимостей в Microsoft Teams, которые можно использовать в связке для выполнения команд, извлечения данных, обхода проверок и фишинговых атак.

GIFShell, по словам специалиста, позволяет атакующему создать обратный шелл, доставляющий вредоносные команды через зашифрованные base64 GIF в Teams. Раух даже опубликовал Python-скрипт, отправляющий пользователю Microsoft Teams сообщение, содержащее специально созданный GIF с командами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Пользователи МТС массово жалуются на проблемы с личным кабинетом

Центр мониторинга и управления сети связи общего пользования (ЦМУ ССОП) подведомственного Роскомнадзору Главного радиочастотного центра (ГРЧЦ) сообщил о росте жалоб пользователей оператора МТС на проблемы с доступом к личному кабинету.

При этом никаких сетевых сбоев или повреждений на сетях МТС не зафиксировано.

Причиной сбоев была названа перегрузка сервиса из-за несанкционированного подключения платных опций. География жалоб охватывала практически всю Европейскую часть России, Южный Урал и часть Западной Сибири (юг Тюменской области).

«24.12.2024 c 09:45 в сервисе «Мониторинг сбоев» фиксируется повышенное количество обращений пользователей оператора связи ПАО МТС с жалобами на задержки в работе сервиса «Личный кабинет». Обращения связаны с нагрузкой на сервис и легитимными запросами пользователей МТС из-за недостоверной информации о подключении платных опций. Сбоев или повреждений на сети оператора связи не фиксируется», — говорится в официальном сообщении ЦМУ ССОП.

Первыми с массовым несанкционированным подключением дополнительных платных услуг, как сообщили местные СМИ, столкнулись в Челябинске.

Наиболее часто в качестве такой опции называли «Забугорище» стоимостью 550 рублей в день, причем отключить ненужные услуги было сложно из-за медленной работы мобильного приложения и личного кабинета на сайте оператора.

Высказывались также предположения о взломе, однако в МТС их опровергли. Оператор напомнил, что «Забугорище» является частью многих тарифных планов, и плата за использование данной опции при нахождении в России не взимается. Опция начинает работать только в международном роуминге при включенном мобильном интернете.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru